Операционные технологии, или ОТ, являются критическим сегментом сети, используемым предприятиями, которые производят товары или занимаются физическими процессами. Такие отрасли, как производство, химическая, нефтегазовая, горнодобывающая промышленности, транспортная и логистическая сферы используют специализированные технологии для управления объектами: сборочными и производственными площадками и энергосистемами. Контроль, мониторинг и управление этими системами были постепенно автоматизированы за последние несколько десятилетий, и специализированные системы, которые выполняют эти задачи, называются промышленными системами управления (ICS), диспетчерского контроля и сбора данных (SCADA) или просто OT.
Сети, в которых работают эти системы OT, традиционно были отделены от корпоративной среды информационных технологий (ИТ), а также от интернета часто отделены воздушной прослойкой. Они обычно управляются оперативным персоналом, а не ИТ-специалистами. Производственные мощности могут приносить компании миллионы долларов в час, а сообщества полагаются на критически важную инфраструктуру, обеспечивающую чистую воду и энергию. Когда эти системы выходят из строя даже на несколько минут, это может стоить сотни тысяч долларов и даже подвергать риску работников и окружающих людей.
Иными словами, ИТ - это управление данными, а ОТ - создание вещей. И поскольку эти системы OT были полностью изолированы, мир OT чувствовал себя невосприимчивым к взлому, который стал фактом жизни для ИТ-сред. Но атаки на ОТ изменили привычный порядок вещей.
2020: Число кибератак на ОТ-инфраструктуру продолжает расти
По оценкам экспертов Fortinet, количество кибератак в системах и инфраструктурах ОТ в 2020 году продолжает расти, и они наносят реальный ущерб. Вероятно, первая такая атака на Stuxnet произошла десять лет назад. Это была система с воздушным зазором, то есть она не имела связи с внешними сетями, но, тем не менее, была взломана. В 2017 году вымогатель NotPetya прервал производство и закрыл офисы. В том же году, вредоносное ПО Trisis/Triton повредило средства безопасности в оборудовании для добычи нефти и газа. А в 2020 году появился Ekans, или Snake Ransomware, который специально предназначен для систем ICS.
Во-первых, воздушный зазор никогда не обеспечивал полной безопасности, хотя изоляция действительно усложняла взлом системы ОТ. Получение физического доступа всегда было возможно с помощью инструментов социальной инженерии, таких как оставление зараженной USB-флэшки на парковке или уверенный проход на территорию организации под видом сотрудника. Во-вторых, доступ для технического обслуживания к промышленным машинам, удаленное обновление инструментов ICS или удаленные обновления встроенного ПО – все это оставляет потенциальные уязвимости в среде OT.
Но самое главное, сети ИТ и OT объединяются, подвергая OT атакам через мир ИТ. Объединение данных с производством позволяет компаниям быстрее реагировать на изменения рынка и удаленно управлять и контролировать системы. Но эти бизнес-преимущества сопряжены с реальными рисками. Новое вредоносное ПО, специально предназначенное для оборудования OT, использует компоненты разведки и доставки, которые используют ИТ-среду и ее сетевые соединения для получения доступа к промышленным системам управления.
Например, вредоносное ПО Trisis/Triton содержит компоненты, предназначенные непосредственно для системы безопасности и мониторинга, используемой нефтехимическими заводами. Такая атака направлена именно на ОТ. Но процессы, процедуры и методы, которые она использует, чтобы проникнуть в эту систему безопасности, являются чистыми методами разведки и доставки ИТ-кибератак, подчеркнули в Fortinet.
Несмотря на дополнительный риск для сетей ОТ, конвергенция ИТ/ОТ происходит потому, что это имеет финансовый и операционный смысл. Операционные группы внедряют сложные системы управления, использующие программное обеспечение и базы данных, которые работают на ИТ-системах. Такие вещи, как термостаты и клапаны с поддержкой Wi-Fi, могут контролироваться и управляться удаленно через ИТ-инфраструктуру, а финансовым директорам не нравятся затраты на отдельные сети или отдельные группы, необходимые для их работы.
Объединение мира ИТ и OT обеспечивает большую эффективность процессов и бизнеса. Таким образом, конвергенция происходит, и необходимо признать, что она увеличивает киберриск несколькими способами, убеждены в Fortinet.
Во-первых, она расширяет то, что называется «поверхностью цифровых атак», что является причудливым способом сказать, что у хакеров есть гораздо больше устройств для таргетинга. Число веб-серверов, филиалов, удаленных и домашних работников и устройств IoT стремительно растет, и каждый из них является потенциальным путем в ИТ-сеть и, в конечном итоге, в среду OT. Аналогичным образом, многие системы OT, которые подключены к ИТ-сети, могут быть более старыми, чувствительными системами, которые намного проще поддаются взлому.
Мало того, угрозы становятся все более изощренными. Так же, как компании подвергаются цифровым преобразованиям и разрабатывают универсальное программное обеспечение, злоумышленники используют те же методы для создания очень сложных и универсальных вредоносных программ. В их атаках используются различные механизмы для проникновения в ИТ-среды, а во все большей степени – в среду OT, в то же время избегаются средства защиты компании.
Что касается инструментов безопасности, то их так много, что управление угрозами в некоторых отношениях стало более трудным, чем когда-либо. Опросы показали, что большинство крупных предприятий имеют от 30 до 90 различных инструментов безопасности от почти всех поставщиков. Они имеют разные консоли управления и требуют обученного персонала, который бы в них разбирался. В слишком многих случаях у сотрудников службы безопасности нет времени, чтобы вникнуть в специфику работы каждого инструмента. Киберугрозы могут буквально затеряться в этой неразберихе.
И, наконец, нормативные акты, регулирующие кибернарушения и защиту личной информации, еще больше усложнили безопасность для менеджеров ИТ и ОТ. Существуют общие стандарты, такие как PCI DSS (Спецификация безопасности данных индустрии платежных карт), GDPR (Общее регулирование защиты данных) и Структура NIST (Национальный институт стандартов и технологий), которые организации должны понимать и соблюдать. Существуют также отраслевые стандарты и нормативы от различных организаций, таких как Международная организация по стандартизации (ISO) и Американский национальный институт стандартов (ANSI), которые определяют, как и где должна применяться безопасность.
Во многих случаях, когда речь идет о системах ICS или SCADA, наблюдается огромный дефицит инвестиций в безопасность. Причин для этого много, но независимо от того, почему так происходит, эта ситуация нуждается в исправлении. Неважно, объединяет ли организация ИТ и OT, необходимо защищать OT с помощью нескольких ключевых методов для обеспечения безопасности:
- 1. Признать, что риск для организации растет, и принимать меры.
- 2. Установить инструменты, обеспечивающие широкий обзор сети OT, а также ИТ. Это включает в себя обнаружение и инвентаризацию устройств, обеспечение контроля доступа только для авторизованного персонала и получение доступа к приложениям и трафику.
- 3. Использовать стратегию сегментации. Интегрировать шлюзы со строгими политиками между средами ИТ и OT и делать то же самое между различными уровнями сети OT. Цель состоит в том, чтобы каждая система и подсистема выполняли только свою работу. Сегментация предотвращает распространение атаки из одного места по всей системе.
- 4. Заменить открытую модель доступа на основе доверия стратегией доступа с нулевым доверием. Установитть элементы управления доступом, которые аутентифицируют пользователей, ограничивают их только теми системами, которые им необходимы для выполнения своей работы, а затем контролируют их при подключении к сети. Это должно применяться ко всем, но особенно важно для подрядчиков и поставщиков.
- 5. Использовать автоматизацию, чтобы помочь проанализировать действия и ускорить ответ. Внедрить инструменты для регистрации активности, аналитику для поиска в тех журналах, которые ищут ненормальное поведение, и системы безопасности, которые могут реагировать на обнаруженную угрозу. Учитывая скорость, с которой могут происходить атаки, автоматизация и оркестровка необходимы для выявления угроз и принятия мер в считанные секунды.
- 6. Установить процессы для аудита и тестирования систем в случае взлома и создайте правила для резервного копирования, восстановления и восстановления.
Смотрите также
- Информационная безопасность АСУ ТП КВО
- Защита критической информационной инфраструктуры России
- Критическая информационная инфраструктура России